Tải bản đầy đủ (.pdf) (78 trang)
  1. Trang chủ
    2. >>
  2. Kinh Tế - Quản Lý
    3. >>
  3. Tiêu chuẩn - Qui chuẩn

Tiêu chuẩn Quốc gia TCVN 7384-1:2010

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (951.47 KB, 78 trang )

TIÊU CHUẨN QUỐC GIA
TCVN 7384-1:2010
ISO 13849-1:2006
AN TOÀN MÁY – CÁC BỘ PHẬN LIÊN QUAN ĐẾN AN TOÀN MÁY CỦA HỆ THỐNG ĐIỀU
KHIỂN - PHẦN 1: NGUYÊN TẮC CHUNG VỀ THIẾT KẾ
Safety of machinery – Safety – related parts of control systems – Part 1: General principles for
design
Lời nói đầu
TCVN 7384-1:2010 thay thế TCVN 7384-1:2004.
TCVN 7384-1:2010 hoàn toàn tương đương với ISO 13849-1:2006 và đính chính kỹ thuật
1:2009.
TCVN 7384-1:2010 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC 199 An toàn máy biên soạn,
Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.
Bộ TCVN 7384 (ISO 13849), An toàn máy – Các bộ phận liên quan đến an toàn của hệ thống
điều khiển gồm các phần sau:
- TCVN 7384-1:2010 (ISO 13849-1:2004), Phần 1: Nguyên tắc chung về thiết kế.
- TCVN 7384-2:2010 (ISO 13849-2:2003), Phần 2: Sự phê duyệt.
- TCVN 7384-100:2004 (ISO/TR 13849-100:2000), Phần 100: Hướng dẫn sử dụng và áp dụng
TCVN 7384-1 (ISO 13849-1).
Lời giới thiệu
Cấu trúc của tiêu chuẩn an toàn trong lĩnh vực máy như sau:
a) Các tiêu chuẩn loại A (tiêu chuẩn cơ bản) đưa ra các khái niệm cơ bản, các nguyên tắc về
thiết kế và những vấn đề chung có thể áp dụng cho máy.
b) Các tiêu chuẩn loại B (tiêu chuẩn an toàn chung) đề cập đến một hoặc nhiều khía cạnh về an
toàn hoặc một hay nhiều kiểu thiết bị an toàn có thể sử dụng cho một phạm vi rộng các máy móc:
- Các tiêu chuẩn loại B1 đề cập đến các khía cạnh an toàn riêng (ví dụ, các khoảng cách an toàn,
nhiệt độ bề mặt, tiếng ồn);
- Các tiêu chuẩn loại B2 đề cập đến trang thiết bị an toàn (ví dụ, các cơ cấu điều khiển hai tay,
các cơ cấu khóa liên động, các cơ cấu nhạy cảm áp suất, các thiết bị bảo vệ).
c) Các tiêu chuẩn loại C (tiêu chuẩn an toàn của máy) đề cập đến các yêu cầu chi tiết về an toàn
cho các máy hoặc nhóm máy cụ thể.


Tiêu chuẩn này là một tiêu chuẩn loại B như đã được giới thiệu trong TCVN 7383-1 (ISO 121001).
Khi các điều của tiêu chuẩn loại C khác với các điều được giới thiệu trong các tiêu chuẩn loại A
hoặc loại B thì các điều của tiêu chuẩn loại C được ưu tiên sử dụng so với các điều của các tiêu
chuẩn khác đối với các máy đã được thiết kế và chế tạo theo các điều của tiêu chuẩn loại C.
Tiêu chuẩn này đưa ra hướng dẫn cho các tiêu chuẩn có liên quan đến thiết kế và đánh giá các
hệ thống điều khiển và cho các ban kỹ thuật soạn thảo các tiêu chuẩn loại B2 hoặc C được xem
là tuân theo các yêu cầu cơ bản về an toàn trong Phụ lục I của hướng dẫn 98/37/EC, hướng dẫn
máy. Tiêu chuẩn này không đưa ra hướng dẫn riêng về sự phù hợp với các hướng dẫn khác của
EC.


Với tư cách là một bộ phận của chiến lược giảm rủi ro chung cho một máy nào đó, nhà thiết kế
thường lựa chọn một số biện pháp để giảm rủi ro thông qua việc áp dụng các thiết bị an toàn có
một hoặc nhiều chức năng an toàn.
Các bộ phận của hệ thống điều khiển máy móc cung cấp các chức năng an toàn được gọi là các
bộ phận liên quan đến an toàn của các hệ thống điều khiển (SRP/CS) và các bộ phận này có thể
bao gồm phần cứng và phần mềm và có thể tách rời khỏi hệ thống điều khiển của máy hoặc là
một bộ phận gắn liền với hệ thống điều khiển của máy. Ngoài ra, để cung cấp các chức năng vận
hành (ví dụ, các cơ cấu điều khiển bằng hai tay là phương tiện cho sự khởi đầu của quá trình).
Khả năng của các bộ phận liên quan đến an toàn của các hệ thống điều khiển (SRP/CS) để thực
hiện chức năng an toàn trong các điều kiện cho trước được phân thành một trong năm mức gọi
là các mức tính năng (PL).
Các mức tính năng được định nghĩa dưới dạng xác suất của hư hỏng gây nguy hiểm trong một
giờ (xem Bảng 3).
Xác suất của hư hỏng gây nguy hiểm của chức năng an toàn phụ thuộc vào nhiều yếu tố, bao
gồm cả cấu trúc phần cứng và cấu trúc phần mềm, mức độ của cơ cấu phát hiện các lỗi hoặc
khuyết tật [tầm tác dụng (vùng) của sự chẩn đoán (DC)], độ tin cậy của các thành phần [thời gian
trung bình tới khi hư hỏng gây nguy hiểm (MTTF d), hư hỏng do nguyên nhân chung (CCF)], quá
trình thiết kế, ứng suất làm việc, điều kiện môi trường và qui trình vận hành.
Để trợ giúp cho nhà thiết kế và tạo điều kiện dễ dàng cho việc đánh giá mức tính năng (PL) đạt

được, tài liệu này sử dụng một phương pháp dựa trên sự phân loại các cấu trúc theo chuẩn thiết
kế riêng và trạng thái qui định trong các điều kiện có lỗi hoặc khuyết tật. Các loại này được phân
phối vào một trong năm mức, được gọi là các loại B, 1, 2, 3 và 4.
Các mức tính năng và các loại có thể áp dụng cho các bộ phận liên quan đến an toàn của các hệ
thống điều khiển, như:
- Thiết bị bảo vệ (ví dụ, các cơ cấu điều khiển bằng hai tay, các cơ cấu khóa liên động), các cơ
cấu bảo vệ nhạy cảm với điện (ví dụ, cơ cấu bảo vệ quang điện), các cơ cấu bảo vệ nhạy cảm
với áp suất;
- Các bộ điều khiển (ví dụ, bộ lôgic dùng cho các chức năng điều khiển, bộ xử lý dữ liệu, bộ giám
sát, kiểm tra, v.v…), và
- Các phần tử điều khiển công suất (ví dụ, các rơle, van, v.v…) cũng như các hệ thống điều khiển
thực hiện các chức năng an toàn ở tất cả các loại máy – từ các thiết bị đơn giản (ví dụ các máy
móc nhỏ cho nhà bếp, hoặc các cửa và cửa ra vào tự động) đến các thiết bị chế tạo (ví dụ, các
máy bao gói, máy in, máy dập, ép).
Tiêu chuẩn này cung cấp một cơ sở rõ ràng để có thể đánh giá được kết cấu và chất lượng làm
việc của bất cứ ứng dụng nào của các bộ phận liên quan đến an toàn trong các hệ thống điều
khiển (SRP/CS) (và máy), bởi phòng thử của bên thứ ba hoặc một phòng thử độc lập.
Thông tin về ứng dụng nên dùng của IEC 62061 và TCVN 7384-1 (ISO 13849-1) qui định các
yêu cầu cho thiết kế và thực hiện các hệ thống điều khiển liên quan đến an toàn của máy. Việc
sử dụng các tiêu chuẩn trên phù hợp với phạm vi của chúng có thể đáp ứng các yêu cầu cơ bản
về an toàn có liên quan. Bảng dưới đây tóm tắt phạm vi của IEC 62061 và tiêu chuẩn này.
Bảng 1 - Ứng dụng của IEC 62061 và TCVN 7384-1 (ISO 13849-1)
Công nghệ thực hiện chức
năng điều khiển liên quan TCVN 7384-1 (ISO 13849-1)
đến an toàn

IEC 62061

A


Không dùng điện, ví dụ thủy
lực

B

Điện-cơ, ví dụ, rơle và/hoặc Hạn chế do các cấu trúc lựa
Tất cả các cấu trúc đến SIL3
điện tử đơn giản
chọna và đến PL = e

X

Không bao hàm


C

Điện tử phức hợp, ví dụ điện Hạn chế cho các cấu trúc lựa Tất cả các cấu trúc và đến
tử lập trình
chọna và đến PL = d
SIL3

D

A được kết hợp với B

Hạn chế cho các cấu trúc lự
chọna và đến PL = e

E


C được kết hợp với B

Hạn chế cho các cấu trúc lựa
Tất cả các cấu trúc và đến
chọn (xem Chú thích 1) và
SIL3
đến PL = d

F

C được kết hợp với A, hoặc
C được kết hợp với A và B

Xb

Xc

Xc

X Chỉ ra rằng TCVN 7384-1 (ISO 13849-1) hoặc IEC 62061 lựa chọn công nghệ phù hợp với
công nghệ đã nêu ở cột đầu.
a

Các cấu trúc lựa chọn được xác định trong 6.2 để đưa ra cách tiếp cận đơn giản để định lượng
các mức tính năng;
b

Đối với điện tử phức hợp: sử dụng các cấu trúc lựa chọn theo tiêu chuẩn này đến PL = d hoặc
bất cứ cấu trúc nào theo IEC 62061;

c

Đối với công nghệ không dùng điện, sử dụng các bộ phận theo tiêu chuẩn này làm các hệ con.
AN TOÀN MÁY – CÁC BỘ PHẬN LIÊN QUAN ĐẾN AN TOÀN MÁY CỦA HỆ THỐNG ĐIỀU
KHIỂN - PHẦN 1: NGUYÊN TẮC CHUNG VỀ THIẾT KẾ
Safety of machinery – Safety – related parts of control systems – Part 1: General
principles for design

1. Phạm vi áp dụng
Tiêu chuẩn này qui định các yêu cầu về an toàn và các nguyên tắc để thiết kế và tích hợp các bộ
phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS), bao gồm cả thiết kế phần mềm.
Đối với các SRP/CS. Tiêu chuẩn này qui định các đặc tính bao gồm cả mức tính năng yêu cầu
để thực hiện các chức năng an toàn. Tiêu chuẩn này áp dụng cho SRP/CS mà không quan tâm
đến loại công nghệ và năng lượng được sử dụng (điện, thủy điện, khí nén, cơ khí v.v….) đối với
tất cả các loại máy.
Tiêu chuẩn này không qui định các chức năng an toàn hoặc các mức tính năng được dùng trong
một trường hợp cụ thể.
Tiêu chuẩn này qui định các yêu cầu riêng cho các bộ phận liên quan đến an toàn của các hệ
thống điều khiển (SRP/CS) khi sử dụng các hệ thống điện tử lập trình. Nó không qui định các yêu
cầu riêng cho thiết kế các sản phẩm là các thành phần của SRP/CS. Tuy nhiên có thể sử dụng
các nguyên tắc đã cho như là các cấp hoặc mức tính năng.
CHÚ THÍCH 1: Các ví dụ về sản phẩm là thành phần của SRP/CS, rơle, van có nam châm điện
kiểu lõi dài, công tắc vị trí, bộ điều khiển logic lập trình (PLC), bộ điều khiển động cơ, cơ cấu điều
khiển bằng hai tay, thiết bị nhạy cảm áp suất. Để thiết kế các sản phẩm, phải tham khảo các tiêu
chuẩn thích hợp, ví dụ, TCVN 7385 (ISO 13851), ISO 13856-1 và ISO 13856-2.
CHÚ THÍCH 2: Đối với định nghĩa của mức tính năng yêu cầu, xem 3.1.24.
CHÚ THÍCH 3: Các yêu cầu qui định trong tiêu chuẩn này cho hệ thống điện tử lập trình thích
hợp với phương pháp thiết kế và triển khai các hệ thống điều khiển điện, điện tử và điện tử lập
trình liên quan đến an toàn của máy được cho trong IEC 62061.
CHÚ THÍCH 4: Đối với phần mềm được nhúng liên quan đến an toàn cho các bộ phận PL r = e,

xem Điều 7, IEC 61508-3:1998.
CHÚ THÍCH 5: Xem thêm Bảng 1.


2. Tài liệu viện dẫn
Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện
dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi
năm công bố thì áp dụng phiên phản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).
TCVN 7383-1:2004 (ISO 12100-1:2003), An toàn máy – Khái niệm cơ bản, nguyên tắc chung cho
thiết kế - Phần 1: Thuật ngữ cơ bản, phương pháp luận.
TCVN 7383-2:2004 (ISO 12100-2:2003), An toàn máy – Khái niệm cơ bản, nguyên tắc chung cho
thiết kế - Phần 2: Nguyên tắc kỹ thuật.
TCVN 7384-2:2010 (ISO 13849-2:2003), An toàn máy – Các bộ phận liên quan đến an toàn của
hệ thống điều khiển – Phần 2: Sự phê duyệt.
TCVN 7301 (ISO 14121), An toàn máy – Nguyên lý đánh giá rủi ro.
ISO 60050-191:1990, International electrotechnical vocabulary – Chapter 191: Dependability and
quality of service, and IEC 60050-191-am1;1999 and IEC 60050-191-am 2:2002:1999,
Amendment 1 and Amendment 2, International Electrotechnical Vocabulary. Chapter 191:
Dependability and quality of service (Thuật ngữ kỹ thuật điện quốc tế - Chương 191: Tính tin cậy
và chất lượng phục vụ và IEC 60050-191-am 1:1999 và IEC 60050-191-AM 2:2002:1999, bản
sửa đổi 1 và bản sửa đổi 2, thuật ngữ kỹ thuật điện quốc tế. Chương 191: Tính tin cậy và chất
lượng phục vụ).
IEC 61508-3:1998, Functional safety of electrical/electronic/programmable electronic safetyrelated systems – Part 3: Software requirements, and IEC 61508-3 Corr.1:1999, Corrigendum 1 –
Functional safety of electrical/electronic/programmable electronic safety-related systems – Part 3:
Software requirements (An toàn chức năng của hệ thống điện/điện tử/điện tử lập trình liên quan
đến an toàn – Phần 3: Yêu cầu của phần mềm, và IEC 61508-3 Corr.1:1999, Bản đính chính 1 –
An toàn chức năng của hệ thống điện/điện tử/điện tử lập trình liên quan đến an toàn – Phần 3:
Yêu cầu của phần mềm).
IEC 61508-4:1998, Functional safety of electrical/electronic/programmable electronic safetyrelated systems – Part 4: Definitions and abbreviations, and IEC 61508-4 Corr.1:1999,
Corrigendum 1 – Functional safety of electrical/electronic/programmable electronic safety-related

systems – Part 4: Definitions and abbreviations (An toàn chức năng của hệ thống điện/điện
tử/điện tử lập trình liên quan đến an toàn – Phần 4: Định nghĩa và chữ viết tắt, và IEC 61508-4
Corr 1:1999, Bản đính chính 1 – An toàn chức năng của hệ thống điện/điện tử/điện tử lập trình
liên quan đến an toàn – Phần 4: Định nghĩa và chữ viết tắt).
3. Thuật ngữ, định nghĩa, ký hiệu và thuật ngữ viết tắt
3.1. Thuật ngữ và định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa cho trong TCVN 7383-1 (ISO 12100-1), IEC
60050-191 và các thuật ngữ định nghĩa sau:
3.1.1. Bộ phận liên quan đến an toàn của hệ thống điều khiển (safety – related part of a
control system) SRP/CS Bộ phận của hệ thống điều khiển đáp ứng các tín hiệu nhập liên quan
đến an toàn và tạo ra các tín hiệu xuất liên quan đến an toàn.
CHÚ THÍCH 1: Các bộ phận liên quan đến an toàn tổ hợp của một hệ thống điều khiển khởi động
tại điểm mà ở đó các tín hiệu nhập liên quan đến an toàn bắt đầu (bao gồm, ví dụ cả cam dẫn
động và con lăn của công tắc vị trí) và kết thúc tại đầu ra của các phần tử điều khiển công suất
(bao gồm các công tắc chính của một công tắc tơ).
CHÚ THÍCH 2: Nếu sử dụng các hệ thống giám sát để chẩn đoán thì chúng cũng được xem là bộ
phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS).
3.1.2. Loại (category)
Sự phân loại các bộ phận liên quan đến an toàn của một hệ thống điều khiển (SRP/CS) về khả
năng chống lại các lỗi và trạng thái tiếp sau của chúng trong điều kiện có lỗi và sự phân loại này


đạt được bằng cách bố trí kết cấu của các bộ phận, sự phát hiện lỗi và/hoặc độ tin cậy của
SRP/CS.
3.1.3. Lỗi (fault)
Trạng thái của một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) được đặc
trưng bằng việc không có khả năng thực hiện một chức năng yêu cầu, trừ việc không có khả
năng trong quá trình bảo dưỡng dự phòng hoặc các hoạt động khác theo kế hoạch hoặc do thiếu
các nguồn cung cấp bên ngoài.
CHÚ THÍCH 1: Một lỗi thường dẫn đến một hư hỏng của bản thân bộ phận liên quan đến an toàn

của hệ thống điều khiển (SRP/CS) nhưng có thể không xuất hiện trước khi hư hỏng.
[IEC 60050-191:1990-05-01].
CHÚ THÍCH 2: Trong tiêu chuẩn này, “lỗi” có nghĩa là lỗi ngẫu nhiên.
3.1.4. Hư hỏng (failure)
Sự mất an toàn khả năng thực hiện chức năng yêu cầu của một bộ phận liên quan đến an toàn
của hệ thống điều khiển (SRP/CS).
CHÚ THÍCH 1: Sau một hư hỏng, bộ phận liên quan đến an toàn của hệ thống điều khiển có một
lỗi.
CHÚ THÍCH 2: “Hư hỏng” là một sự kiện, khác với “lỗi” là một trạng thái.
CHÚ THÍCH 3: Khái niệm đã được định nghĩa không áp dụng cho bộ phận liên quan đến an toàn
của hệ thống điều khiển (SRP/CS) chỉ gồm có phần mềm. [IEC 60050-191:1990, 04-01].
CHÚ THÍCH 4: Các hư hỏng chỉ ảnh hưởng đến khả năng có thể dùng được của quá trình được
điều khiển không thuộc phạm vi của tiêu chuẩn này.
3.1.5. Hư hỏng nguy hiểm (dangerous failure)
Hư hỏng có khả năng làm bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) lâm
vào tình trạng nguy hiểm hoặc không hoạt động được.
CHÚ THÍCH 1: Tiềm năng có thể trở thành hiện thực hoặc không trở thành hiện thực có thể phụ
thuộc vào cấu trúc kênh của hệ thống; trong các hệ thống dư thừa, một hư hỏng nguy hiểm của
phần cứng ít có khả năng dẫn đến tình trạng nguy hiểm giới hạn hoặc không hoạt động được.
CHÚ THÍCH 2: Được sửa đổi cho hợp với IEC 61508-4:1998, định nghĩa 3.6.7.
3.1.6. Hư hỏng do nguyên nhân chung (common cause failure – CCF)
Hư hỏng của các bộ phận liên quan đến an toàn khác nhau của hệ thống điều khiển (SRP/CS)
chỉ do một sự kiện, ở đó các hư hỏng này không phải là hậu quả của nhau.
[IEC 60050-191-1am1:1999, 04-23].
CHÚ THÍCH: Không nên nhầm lẫn hư hỏng do nguyên nhân chung với hư hỏng dạng chung
(xem TCVN 7383-1:2004 (ISO 12100-1:2003), 3.34).
3.1.7. Hư hỏng có hệ thống (systematic failure)
Hư hỏng có liên quan đến một nguyên nhân nhất định theo một cách xác định, chỉ có thể được
loại trừ bằng cải tiến thiết kế hoặc quá trình chế tạo, quy trình vận hành, tài liệu kỹ thuật hoặc các
yếu tố có liên quan khác.

CHÚ THÍCH 1: Sự bảo dưỡng hiệu chỉnh mà không có sự cải biến thường không loại bỏ được
nguyên nhân gây hư hỏng.
CHÚ THÍCH 2: Có thể tạo ra hư hỏng có hệ thống bằng cách mô phỏng nguyên nhân gây hư
hỏng.
[IEC 60050-191:1990, 04-19].


CHÚ THÍCH 3: Ví dụ về các nguyên nhân của hư hỏng có hệ thống bao gồm lỗi của con người
trong.
- Bản liệt kê các yêu cầu về an toàn;
- Thiết kế, chế tạo, lắp đặt, vận hành phần cứng, và
- Thiết kế, thực hiện v.v của phần mềm.
3.1.8. Sự tạm ngừng (muting)
Sự ngừng tự động tạm thời của một hoặc nhiều chức năng an toàn bằng bộ phận liên quan đến
an toàn của hệ thống điều khiển (SRP/CS).
3.1.9. Chỉnh đặt lại bằng tay (manual reset)
Chức năng trong bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) dùng để khôi
phục lại bằng tay một hoặc nhiều chức năng an toàn trước khi khởi động lại máy.
3.1.10. Tổn tại (harm)
Sự tổn thương của thân thể hoặc thiệt hại cho sức khỏe
[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.5].
3.1.11. Mối nguy hiểm (hazard)
Nguồn tổn hại có tiềm năng.
CHÚ THÍCH 1: Một mối nguy hiểm có thể có đủ khả năng để xác định nguồn gốc của nó (ví dụ,
mối nguy hiểm về cơ, mối nguy hiểm về điện) hoặc bản chất của tổn hại có tiềm năng (ví dụ, mối
nguy hiểm chập điện, mối nguy hiểm cắt (đứt), mối nguy hiểm do chất độc, mối nguy hiểm cháy).
CHÚ THÍCH 2: Mối nguy hiểm được nêu trong định nghĩa này:
- Hoặc có mặt thường xuyên trong quá trình sử dụng máy theo hướng dẫn (ví dụ, chuyển động
của các bộ phận di động nguy hiểm, hồ quang điện trong quá trình hàn, tư thế có hại đến sức
khỏe, sự phát ra tiếng ồn, nhiệt độ cao);

- Hoặc xuất hiện bất ngờ (ví dụ, nổ, mối nguy hiểm bị nghiền, đập do hậu quả của sự khởi động
không có chủ định/bất ngờ, mối nguy hiểm phun trào do hậu quả của sự gẫy vỡ, mối nguy hiểm
rơi, đổ do hậu quả của sự tăng tốc/giảm tốc).
[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.6].
3.1.12. Tình trạng nguy hiểm (hazardous situation)
Hoàn cảnh trong đó một người bị phơi ra trước ít nhất là một mối nguy hiểm, sự phơi này có khả
năng dẫn đến tổn hại tức thời hoặc trong một khoảng thời gian dài.
[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.9].
3.1.13. Rủi ro (risk)
Tổ hợp của xác suất xảy ra sự tổn hại và tính nghiêm trọng của tổn hại này.
[TCVN 7383-1:2004 (ISO 12100-1:2003) 3.11].
3.1.14. Rủi ro dư (residual risk)
Rủi ro còn lại sau khi đã có các biện pháp bảo vệ.
Xem Hình 2.
CHÚ THÍCH: Được sửa lại cho thích hợp từ TCVN 7383-1:2004 (ISO 12100-1:2003), định nghĩa
3.12.
3.1.15. Đánh giá rủi ro (risk assessment)
Quá trình tổng thể gồm có phân tích rủi ro và ước lượng rủi ro.


[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.13].
3.1.16. Phân tích rủi ro (risk analysis)
Tổ hợp đặc điểm các giới hạn của máy, sự nhận dạng mối nguy hiểm và dự tính rủi ro.
[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.14].
3.1.17. Ước lượng rủi ro (risk evaluation)
Sự xét đoán, dựa trên cơ sở phân tích rủi ro, xem các mục tiêu giảm rủi ro có đạt được hay
không.
[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.16].
3.1.18. Sử dụng máy theo hướng dẫn (intended use of machine)
Sử dụng máy theo thông tin qui định trong bản hướng dẫn sử dụng [TCVN 7383-1:2004 (ISO

12100-1:2003), 3.22].
3.1.19. Sử dụng sai hợp lý thấy trước (reasonably foreseeable misuse)
Sử dụng máy theo cách không được dự định của người thiết kế nhưng việc sử dụng này có thể
do khả năng đoán trước được một cách dễ dàng của con người.
[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.23].
3.1.20. Chức năng an toàn (safety function)
Chức năng của máy mà hư hỏng của nó có thể dẫn đến việc tăng lên tức thời các rủi ro.
[TCVN 7383-1:2004 (ISO 12100-1:2003), 3.28].
3.1.21. Giám sát (monitoring)
Chức năng an toàn bảo đảm một biện pháp bảo vệ được khởi động nếu khả năng của một bộ
phận hoặc một thành phần để thực hiện chức năng của nó bị suy giảm hoặc nếu các điều kiện
của quá trình công nghệ thay đổi theo hướng làm cho rủi ro tăng lên.
3.1.22. Hệ thống điện tử lập trình (programmable electronic system) PES
Hệ thống điều khiển, bảo vệ hoặc giám sát dựa vào một hoặc nhiều thiết bị điện tử lập trình để
hoạt động, bao gồm tất cả các thành phần của hệ thống như các nguồn cung cấp năng lượng,
các cảm biến và các thiết bị nhập khác, các công tắc tơ và các thiết bị xuất khác.
CHÚ THÍCH: Đã được sửa đổi cho thích hợp từ IEC 61508-4:1998, định nghĩa 3.3.2.
3.1.23. Mức tính năng (performance level), PL
Mức riêng biệt dùng để qui định khả năng thực hiện một chức năng an toàn của các bộ phận liên
quan đến an toàn của hệ thống điều khiển (SRP/CS) trong điều kiện đã cho.
CHÚ THÍCH: Xem 4.5.1.
3.1.24. Mức tính năng yêu cầu (required performance level), PLr
Mức tính năng (PL) được áp dụng để đạt được sự giảm rủi ro yêu cầu đối với mỗi chức năng an
toàn.
Xem các Hình 2 và A.1.
3.1.25. Thời gian trung bình đến khi hư hỏng nguy hiểm (mean time to dangerous failure),
MTTFd
Thời gian trung bình kỳ vọng đến khi xảy ra hư hỏng nguy hiểm.
CHÚ THÍCH: Được sửa đổi cho thích hợp từ IEC 62061:2005, định nghĩa 3.2.34.
3.1.26. Vùng chẩn đoán (diagnostic coverage), DC



Phạm vi chẩn đoán có hiệu quả có thể được xác định bằng tỷ số giữa mức hư hỏng của các hư
hỏng nguy hiểm được phát hiện và mức hư hỏng của tổng các hư hỏng nguy hiểm.
CHÚ THÍCH 1: Vùng chẩn đoán có thể tồn tại đối với toàn thể hoặc các bộ phận của một hệ
thống điều khiển. Ví dụ, vùng chẩn đoán có thể có đối với các cảm biến và/hoặc hệ thống logic
và/hoặc các phần tử chấp hành.
CHÚ THÍCH 2: Được sửa đổi cho thích hợp từ IEC 61508-4:1998, định nghĩa 3.8.6.
3.1.27. Biện pháp bảo vệ (protective measure)
Biện pháp được dùng để đạt được sự giảm rủi ro.
VÍ DỤ 1: Do người thiết kế thực hiện: thiết kế bảo vệ, các biện pháp bảo vệ và bảo vệ bổ sung,
thông tin cho sử dụng.
VÍ DỤ 2: Do người thiết kế thực hiện: tổ chức (quy trình làm việc an toàn, giám sát, các hệ thống
cho phép làm việc), cung cấp và sử dụng các trang bị bảo vệ an toàn bổ sung, trang bị bảo vệ cá
nhân, đào tạo.
CHÚ THÍCH: Được sửa đổi cho thích hợp từ TCVN 7383-1:2004 (ISO 12100-1:2003), định nghĩa
3.18.
3.1.28. Thời gian làm việc (mission time), TM
Khoảng thời gian dành cho việc sử dụng theo hướng dẫn của một bộ phận liên quan đến an toàn
của hệ thống điều khiển (SRP/CS).
3.1.29. Tần suất kiểm tra (test rate) rt
Tần suất của các kiểm tra tự động để phát hiện các lỗi trong một bộ phận liên quan đến an toàn
của hệ thống điều khiển (SRP/CS), là trị số nghịch đảo của khoảng thời gian kiểm tra chẩn đoán.
3.1.30. Tần suất yêu cầu (demand rate), rd
Tần suất của các yêu cầu đối với một tác động liên quan đến an toàn của bộ phận liên quan đến
an toàn của hệ thống điều khiển (SRP/CS).
3.1.31. Tần suất sửa chữa (repair rate), rr
Trị số nghịch đảo của khoảng thời gian từ khi phát hiện ra một hư hỏng nguy hiểm bằng một
phép kiểm tra trực tuyến hoặc do sự trục trặc rõ ràng của hệ thống tới khi khởi động lại sự hoạt
động sau sửa chữa hoặc thay thế hệ thống/bộ phận.

CHÚ THÍCH: Thời gian sửa chữa không bao gồm khoảng thời gian cần thiết cho phát hiện hư
hỏng.
3.1.32. Hệ thống điều khiển máy (machine control system)
Hệ thống đáp ứng các tín hiệu nhập từ các bộ phận của máy, người vận hành, thiết bị điều khiển
bên ngoài hoặc bất cứ tổ hợp nào của các đối tượng nêu trên và tạo ra các tín hiệu xuất làm cho
máy vận hành tốt theo qui định.
CHÚ THÍCH: Hệ thống điều khiển máy có thể sử dụng mọi công nghệ hoặc mọi tổ hợp các công
nghệ khác nhau (ví dụ, điện/điện tử, thủy lực, khí nén, cơ khí).
3.1.33. Mức toàn vẹn của an toàn (safety integrity level), SIL
Mức riêng biệt (một trong số bốn mức) dùng để qui định yêu cầu về tính toàn vẹn của an toàn
của các chức năng an toàn được cấp cho các hệ thống liên quan đến an toàn E/E/PE, trong đó
cấp độ 4 là mức toàn vẹn của an toàn cao nhất và cấp độ 1 là mức toàn vẹn của an toàn thấp.
[IEC 61508-4:1998, 3.5.6].
3.1.34. Ngôn ngữ biến đổi giới hạn (limited variabity language), LVL


Loại ngôn ngữ có khả năng kết hợp các chức năng thư viện ứng dụng riêng được xác định trước
để thực hiện việc đặc tả các yêu cầu an toàn.
CHÚ THÍCH 1: Được sửa đổi cho thích hợp từ IEC 61511-1:2003, định nghĩa 3.2.80.1.2.
CHÚ THÍCH 2: Các ví dụ điển hình của ngôn ngữ biến đổi có giới hạn (LVL) (Logic bậc thang,
biểu đồ khối chức năng) được nêu trong IEC 61131-3.
CHÚ THÍCH 3: Một ví dụ điển hình của hệ thống sử dụng ngôn ngữ biến đổi có giới hạn (LVL);
PLC (Bộ điều khiển logic lập trình).
3.1.35. Ngôn ngữ biến đổi hoàn toàn (full variability language), FVL
Loại ngôn ngữ có khả năng thực hiện rất nhiều chức năng và ứng dụng.
VÍ DỤ: C, C++, Bộ dịch hợp ngữ.
CHÚ THÍCH 1: Được sửa lại cho thích hợp từ IEC 61511-1:2003, định nghĩa 3.2.80.1.3.
CHÚ THÍCH 2: Một ví dụ điển hình của các hệ thống sử dụng ngôn ngữ biến đổi hoàn toàn
(FVL): Hệ thống được nhúng.
CHÚ THÍCH 3: Trong lĩnh vực này, ngôn ngữ biến đổi hoàn toàn (FVL) được dùng trong phần

mềm được nhúng và ít được dùng trong phần mềm ứng dụng.
3.1.36. Phần mềm ứng dụng (application software)
Phần mềm dành riêng cho ứng dụng, do nhà sản xuất máy thực hiện, và thường chứa các dãy
logic, các giới hạn và biểu thức điều khiển các dữ liệu nhập, xuất thích hợp, các tính toán và các
quyết định cần thiết để đáp ứng các yêu cầu của bộ phận liên quan đến an toàn của hệ thống
điều khiển (SRP/CS).
3.1.37. Phần mềm được nhúng, phần mềm hệ thống (embedded software, firmware, system
software)
Phần mềm là một bộ phận của hệ thống do nhà sản xuất hệ thống điều khiển cung cấp và người
sử dụng máy không thể truy cập để cải tiến được.
CHÚ THÍCH: Phần mềm được nhúng thường được viết bằng ngôn ngữ biến đổi hoàn toàn
(FVL).
3.2 Ký hiệu và thuật ngữ viết tắt
Xem Bảng 2.
Bảng 2 – Ký hiệu và thuật ngữ viết tắt
Ký hiệu hoặc chữ
viết tắt

Mô tả

Định nghĩa hoặc xuất hiện
trong

a, b, c, d, e,

Ký hiệu các mức tính năng

Bảng 3

AOPD


Thiết bị bảo vệ quang điện tử phóng xạ (ví
dụ, hàng rào ánh sáng)

B, 1, 2, 3, 4

Ký hiệu các loại

B10d

Số lượng chu kỳ tới khi 10% các bộ phận
hư hỏng một cách nguy hiểm (đối với các
bộ phận khí nén và điện-cơ)

Cat.

Loại

CC

Bộ biến đổi dòng

CCF

Hư hỏng do nguyên nhân chung

3.1.6

DC


Vùng chẩn đoán

3.1.26

Phụ lục H
Bảng 7
Phụ lục C

3.1.2
Phụ lục I


DCavg

Vùng chẩn đoán trung bình

E.2

F, F1, F2

Tần suất và/hoặc thời gian phơi trước mối
nguy hiểm

A.2.2

FB

Khối chức năng

4.6.3


FVL

Ngôn ngữ biến đổi hoàn toàn

3.1.35

FMEA

Dạng hư hỏng và phân tích ảnh hưởng

7.2

I, I1, I2

Thiết bị nhập, ví dụ, cảm biến

6.2

i, j

Chỉ số để đếm

Phụ lục D

I/O

Các khối nhập/xuất

Bảng E.1


iab, ibc

Các phương tiện nối liên kết

K1A, K1B

Các công tắc tơ

L, L1, L2

Logic

LVL

Ngôn ngữ biến đổi giới hạn

M

Động cơ (mô tơ)

Phụ lục l

MTTF

Thời gian trung bình tới khi hư hỏng

Phụ lục C

MTTFd


Thời gian trung bình tới khi hư hỏng nguy
hiểm

n, N, N

Số lượng các bộ phận

Nlow

Số lượng các SRP/CS có PLlow trong một tổ
hợp của SRP/CS

6.3

O, O1, O2, OTE

Thiết bị xuất, ví dụ, thiết bị khởi động

6.2

P, P1, P2

Khả năng tránh nguy hiểm

A.2.3

PES

Hệ thống điện tử lập trình


3.1.22

PL

Mức tính năng

3.1.23

PLC

Bộ điều khiển logic lập trình

PLlow

Mức tính năng thấp nhất của SRP/CS trong
tổ hợp của SRP/CS

PLr

Mức tính năng yêu cầu

3.1.24

rd

Tần suất của yêu cầu

3.1.30


RS

Cảm biến quay

S, S1, S2

Mức độ nghiêm trọng của thương tích

SW1A, SW1B,
SW2

Công tắc tơ vị trí

SIL

Mức toàn vẹn của an toàn

SRASW

Phần mềm ứng dụng liên quan đến an toàn

4.6.3

SRESW

Phần mềm được nhúng liên quan đến an
toàn

4.6.2


Hình 4
Phụ lục I
6.2
3.1.34

3.1.25
6.3, D.1

Phụ lục I
6.3

Phụ lục I
A.2.1
Phụ lục I
Bảng 4


SRP

Bộ phận liên quan đến an toàn

SRP/CS

Bộ phận liên quan đến an toàn của hệ thống
điều khiển

TE

Thiết bị kiểm tra/thử nghiệm


TM

Thời gian làm việc

Chung
3.1.1
6.2
3.1.28

4. Xem xét thiết kế
4.1. Mục tiêu an toàn trong thiết kế
Bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) phải được thiết kế và cấu tạo
có tính đến các nguyên tắc của TCVN 7383-1 (ISO 12100-1) và TCVN 7301 (ISO 14121) một
cách đầy đủ (xem Hình 1 và Hình 3). Phải xem xét toàn bộ việc sử dụng theo hướng dẫn và sử
dụng sai hợp lý thấy trước.


a

Tham chiếu TCVN 7383-1:2004 (ISO 12100-1:2003).

b

Tham chiếu tiêu chuẩn này.
Hình 1 – Mô tả tóm tắt việc đánh giá rủi ro/giảm rủi ro

4.2. Kế hoạch để giảm rủi ro
4.2.1. Qui định chung
Chiến lược để giảm rủi ro ở máy được nêu trong TCVN 7383-1:2004 (ISO 12100-1:2003), Điều 5
và hướng dẫn bổ sung được nêu trong TCVN 7383-2:2004 (ISO 12100-2:2003), các Điều 4 (các

biện pháp thiết kế sẵn có) và Điều 5 (các biện pháp bảo vệ và bảo vệ bổ sung). Chiến lược này
bao hàm toàn bộ vòng đời của máy.
Quá trình phân tích mối nguy hiểm và giảm rủi ro đối với một máy yêu cầu phải loại trừ hoặc
giảm các mối nguy hiểm thông qua một hệ thống các biện pháp theo trình tự:
- Loại trừ mối nguy hiểm hoặc giảm rủi ro bằng thiết kế [xem TCVN 7383-2:2004 (ISO 121002:2003), Điều 4];
- Giảm rủi ro bằng các biện pháp bảo vệ và bảo vệ bổ sung [xem TCVN 7383-2:2004 (ISO
12100-2:2003, Điều 5];
- Giảm rủi ro bằng cung cấp thông tin cho sử dụng về rủi ro còn dư [xem TCVN 7383-2:2004
(ISO 12100-2:2003, Điều 6].
4.2.2. Đóng góp của hệ thống điều khiển vào việc giảm rủi ro
Mục đích theo sau quy trình thiết kế tổng thể đối với máy là đạt được các mục tiêu an toàn (xem
4.1). Việc thiết kế bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) để giảm rủi
ro yêu cầu là một phần không thể tách rời của quy trình thiết kế máy tổng thể. Bộ phận liên quan
đến an toàn của hệ thống điều khiển có chức năng an toàn ở một mức tính năng (PL) để đạt
được giảm rủi ro yêu cầu. Khi cung cấp chức năng an toàn với tư cách là một bộ phận an toàn
vốn có của thiết kế hoặc là một bộ điều khiển đối với thiết bị bảo vệ thì việc thiết kế bộ phận liên
quan đến an toàn của hệ thống điều khiển là một phần của chiến lược để giảm rủi ro. Đây là một
quá trình lặp lại và được minh họa trên Hình 1 và Hình 3.
Đối với mỗi chức năng an toàn, các đặc tính (xem Điều 5) và mức tính năng yêu cầu phải được
quy định và lập thành tài liệu các yêu cầu an toàn.
Trong tiêu chuẩn này các mức tính năng được xác định dưới dạng xác suất của hư hỏng nguy
hiểm trên giờ. Có năm mức tính năng (a đến e) đã được xác lập với các phạm vi xác định của
một hư hỏng nguy hiểm trên giờ (xem Bảng 3).
Bảng 3 – Mức tính năng (PL)
PL

Xác suất trung bình của hư hỏng nguy hiểm trên giờ, 1/h

a


≥ 10-5 đến < 10-4

b

≥ 3 x 10-6 đến < 10-5

c

≥ 10-6 đến < 3 x 10-6

d

≥ 10-7 đến < 10-6

e

≥ 10-8 đến < 10-7

CHÚ THÍCH: Ngoài xác suất trung bình của hư hỏng nguy hiểm trên giờ cũng cần có các biện
pháp khác để đạt được PL
Từ việc đánh giá rủi ro [xem TCVN 7301 (ISO 14121)] ở máy, người thiết kế phải đóng góp vào
quyết định giảm rủi ro mà mỗi chức năng an toàn có liên quan do bộ phận liên quan đến an toàn
của hệ thống điều khiển thực hiện cần cung cấp. Sự đóng góp này không bao hàm bộ rủi ro của
máy được điều khiển, ví dụ, không phải là toàn bộ rủi ro của một máy ép cơ khí, hoặc một máy


giặt được xem xét, nhưng phần rủi ro này được giảm đi do ứng dụng các chức năng an toàn
riêng. Ví dụ về các chức năng an toàn này là chức năng dừng máy được bắt đầu bằng việc sử
dụng một thiết bị bảo vệ nhạy cảm với điện trên máy ép hoặc chức năng khóa cửa của máy giặt.
Có thể đạt được việc giảm rủi ro bằng cách áp dụng nhiều biện pháp bảo vệ khác nhau (bao gồm

cả việc sử dụng SRP/CS và không sử dụng SRP/CS) để có kết quả cuối là đạt được điều kiện an
toàn (xem Hình 2).

CHÚ DẪN
Rh Đối với tình trạng nguy hiểm riêng, rủi ro trước khi áp dụng các biện pháp bảo vệ.
Rr Giảm rủi ro được yêu cầu từ các biện pháp bảo vệ.
Ra Giảm rủi ro thực tế đạt được bằng các biện pháp bảo vệ.
1 Giải pháp 1: Phần quan trọng của giảm rủi ro do các biện pháp bảo vệ khác với SRP/CS (ví dụ,
các biện pháp cơ khí), phần nhỏ của giảm rủi ro SRP/CS.
2 Giải pháp 2: Phần quan trọng của giảm rủi ro do SRP/CS (ví dụ, màn ánh sáng), phần nhỏ của
giảm rủi ro do các biện pháp bảo vệ khác với SRP/CS (ví dụ, các biện pháp cơ khí).
3 Rủi ro được giảm đi một cách thỏa đáng.
4 Rủi ro được giảm đi một cách không thỏa đáng.
R Rủi ro
a Rủi ro còn dư thu được bằng các giải pháp 1 và 2.
b Rủi ro được giảm đi một cách thỏa đáng.
R1SRP/CS R2 SRP/CS giảm rủi ro từ chức năng an toàn được thực hiện bởi SRP/CS.
R1M, R2M giảm rủi ro từ các biện pháp bảo vệ khác với SRP/CS (ví dụ, các biện pháp cơ khí).
CHÚ THÍCH: Xem TCVN 7383 (ISO 12100) để có thêm thông tin về giảm rủi ro.
Hình 2 – Mô tả tóm tắt quá trình giảm rủi ro đối với mỗi tình trạng nguy hiểm


a

TCVN 7384-2 (ISO 13849-2) đưa ra sự trợ giúp bổ sung cho sự phê duyệt.
Hình 3 – Quá trình lặp để thiết kế các bộ phận liên quan đến an toàn của hệ thống điều
khiển (SRP/CS)

4.3. Xác định mức tính năng yêu cầu (PLr)
Đối với mỗi chức năng an toàn lựa chọn được thực hiện bởi SRP/CS phải được xác định mức

tính năng yêu cầu (PLr) và lập thành tài liệu (xem Phụ lục A đối với hướng dẫn để xác định PL r).
Việc xác định mức tính năng yêu cầu là kết quả của đánh giá rủi ro và có liên quan đến lượng
giảm rủi ro mà các bộ phận liên quan đến an toàn của hệ thống điều khiển phải thực hiện (xem
Hình 2)


Lượng giảm rủi ro mà bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) cung
cấp càng cao thì mức tính năng yêu cầu (PLr) phải càng cao.
4.4. Thiết kế bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS)
Một phần của quá trình giảm rủi ro là xác định các chức năng an toàn của máy. Các chức năng
an toàn của máy sẽ bao gồm các chức năng an toàn của hệ thống điều khiển, ví dụ, ngăn ngừa
sự khởi động bất ngờ.
Một chức năng an toàn có thể được thực hiện bởi một hoặc nhiều bộ phận liên quan đến an toàn
của hệ thống điều khiển (SRP/CS) (ví dụ, bộ logic, phần tử điều khiển công suất). Một SRP/CS
cũng có thể thực hiện các chức năng an toàn và các chức năng điều khiển tiêu chuẩn. Người
thiết kế có thể sử dụng bất cứ công nghệ nào có thể sử dụng được, sử dụng từng công nghệ
một hoặc kết hợp giữa các công nghệ. Bộ phận liên quan đến an toàn của hệ thống điều khiển
cũng có thể cung cấp một chức năng vận hành (ví dụ, một AOPD là một phương tiện để bắt đầu
chu trình).
Sự biểu thị bằng sơ đồ một chức năng an toàn điển hình trên Hình 4 chỉ ra một tổ hợp các bộ
phận liên quan đến an toàn của các hệ thống điều khiển (SRP/CS) để.
- Nhập (SRP/CSa),
- Logic/xử lý (SRP/CSb),
- Phần tử điều khiển xuất/công suất (SRP/CSc), và
- Các biện pháp nối liên kết (iab, ibc) (ví dụ, điện, quang).
CHÚ THÍCH 1: Trong cùng một máy, điều quan trọng là phải phân biệt giữa các chức năng an
toàn khác nhau và các SRP/CS có liên quan của chúng khi thực hiện một chức năng an toàn nào
đó.
Khi nhận dạng các chức năng an toàn của hệ thống điều khiển, người thiết kế phải nhận dạng
SRP/CS (xem các Hình 1 và Hình 3) và, nếu cần thiết phải chỉ định chúng thực hiện chức năng

nhập, logic và xuất và, trong trường hợp dư thừa phải chỉ định chúng thực hiện các kênh riêng và
sau đó ước lượng mức PL (xem Hình 3).
CHÚ THÍCH 2: Các cấu trúc lựa chọn được cho trong Điều 6.
CHÚ THÍCH 3: Tất cả các phương tiện nối liên kết được bao gồm trong các bộ phận liên quan
đến an toàn.

CHÚ DẪN
I Nhập
L Logic
0 Xuất
1 Sự kiện bắt đầu (ví dụ, khởi động bằng tay một nút ấn, mở bộ phận bảo vệ, dừng chùm tia của
AOPD)
2 Cơ cấu dẫn động máy (ví dụ, phanh động cơ).


Hình 4 – Biểu thị bằng sơ đồ tổ hợp các bộ phận liên quan đến an toàn của các hệ thống
điều khiển để xử lý chức năng an toàn điển hình
4.5. Ước lượng mức tính năng đạt được PL và mối quan hệ với SIL
4.5.1. Mức tính năng PL
Theo tiêu chuẩn này, khả năng của các bộ phận liên quan đến an toàn để thực hiện chức năng
an toàn được biểu thị qua việc xác định mức tính năng.
Đối với mỗi SRP/CS và/hoặc tổ hợp của các SRP/CS được lựa chọn để thực hiện một chức
năng an toàn thì phải dự tính mức tính năng PL.
Mức tính năng PL của SRP/CS phải được xác định bằng cách dự tính các thông số sau:
- Trị số MTTFd đối với các bộ phận đơn (xem Phụ lục C và Phụ lục D):
- DC (xem Phụ lục E);
- CCF (xem Phụ lục F);
- Cấu trúc (xem Điều 6);
- Trạng thái của chức năng an toàn trong điều kiện có lỗi (xem Điều 6);
- Phần mềm liên quan đến an toàn (xem 4.6 và Phụ lục J);

- Hư hỏng có hệ thống (xem Phụ lục G);
- Khả năng thực hiện một chức năng an toàn trong các điều kiện môi trường yêu cầu.
CHÚ THÍCH 1: Các thông số khác, ví dụ các thông số vận hành, tần suất của yêu cầu, tần suất
kiểm tra cũng có thể ảnh hưởng.
Các thông số này có thể được hợp thành nhóm theo hai phương pháp có liên quan đến quá trình
ước lượng:
a) Các thông số định lượng được (trị số MTTF d đối với các bộ phận đơn, DC, CCF, cấu trúc);
b) Các thông số định tính, không định lượng được có ảnh hưởng đến trạng thái của SRP/CS
(trạng thái của chức năng an toàn trong các điều kiện có lỗi, phần mềm có liên quan đến an toàn,
hư hỏng có hệ thống và các điều kiện môi trường).
Trong số các thông số định lượng được thì sự đóng góp của độ tin cậy (ví dụ, MTTF d, cấu trúc)
có thể thay đổi theo công nghệ được sử dụng. Ví dụ, có thể (trong các giới hạn nào đó) một kênh
đơn của các bộ phận liên quan đến an toàn có độ tin cậy cao trong công nghệ để cho cùng một
PL hoặc PL cao hơn so với một cấu trúc có lỗi có độ tin cậy thấp hơn trong một công nghệ khác.
Có nhiều phương pháp để dự tính các thông số định lượng được của PL cho bất cứ hệ thống
nào (ví dụ, một hệ thống phức hợp), ví dụ, mô hình Markov, lưới Petri ngẫu nhiên tổng quát hóa
(GSPN), sơ đồ khối độ tin cậy [ví dụ, xem IEC 61508].
Để đánh giá các thông số định lượng được của PL dễ dàng hơn, tiêu chuẩn này đưa ra một
phương pháp đơn giản hóa dựa trên định nghĩa của năm cấu trúc được lựa chọn đáp ứng các
tiêu chuẩn thiết kế riêng và trạng thái trong điều kiện có lỗi (xem 4.5.4).
Đối với một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) hoặc tổ hợp của
các bộ phận này được thiết kế theo các yêu cầu cho trong Điều 6 thì xác suất trung bình của một
hư hỏng nguy hiểm có thể dự tính bởi Hình 5 và quy trình cho trong các Phụ lục A đến Phụ lục H,
Phụ lục J đến Phụ lục K.
Đối với một bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) có sai lệch so với
các cấu trúc được lựa chọn thì phải đưa ra tính toán chi tiết để chứng minh sự đạt được mức
tính năng yêu cầu(PLr).


Trong ứng dụng mà bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) có thể

được xem là đơn giản và mức tính năng yêu cầu từ a đến c thì có thể đưa ra dự tính định tính về
PL trong tính hợp lý của thiết kế.
CHÚ THÍCH 2: Để thiết kế các hệ thống điều khiển phức hợp, như hệ thống điện tử lập trình
(PES) thì việc ứng dụng các tiêu chuẩn khác có thể là thích hợp (ví dụ, IEC 61508, IEC 62061
hoặc IEC 61496).
Việc đạt được các kết quả định tính của PL có thể được chứng minh bằng ứng dụng các biện
pháp nên dùng được cho trong 4.6 và Phụ lục G.
Trong các tiêu chuẩn theo IEC 61508, khả năng thực hiện một chức năng an toàn của các hệ
thống điều khiển liên quan đến an toàn được thể hiện thông qua mức toàn vẹn của an toàn (SIL).
Bảng 4 chỉ ra mối quan hệ giữa hai khái niệm (PLs và SILs).
PL a không có sự tương ứng với thang SIL và được sử dụng chủ yếu để giảm rủi ro của thương
tích nhẹ, thường chữa khỏi được. Vì SIL 4 được dành cho các sự cố nghiêm trọng có thể xảy ra
trong công nghiệp gia công nên phạm vi này không liên quan đến các rủi ro ở máy. PL e tương
ứng với SIL 3 được xác định là mức cao nhất.
Bảng 4 – Quan hệ giữa mức tính năng (PL) và mức toàn vẹn của an toàn (SIL)
PL

SIL
(tham khảo IEC 61508-1) chế độ vận hành cao/liên tục)

a

Không tương ứng

b

1

c


1

d

2

e

3

Do phải áp dụng các biện pháp bảo vệ chính sau để giảm rủi ro:
- Giảm xác suất của các lỗi ở mức bộ phận. Mục đích là giảm xác suất của các lỗi hoặc hư hỏng
ảnh hưởng đến chức năng an toàn. Điều này có thể thực hiện bằng cách tăng độ tin cậy của các
bộ phận, ví dụ bằng cách lựa chọn các bộ phận đã quen và đáng tin cậy và/hoặc áp dụng các
nguyên tắc an toàn đã quen-đáng tin cậy, để giảm thiểu hoặc loại trừ các lỗi tới hạn hoặc hư
hỏng [xem TCVN 7384-2 (ISO 13849-2)].
- Nâng cao kết cấu của bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/SC). Mục
đích này là để tránh ảnh hưởng nguy hiểm của lỗi. Một số lỗi có thể được phát hiện và có thể cần
đến một cấu trúc dư thừa và/hoặc cấu trúc được giám sát.
Có thể áp dụng cả hai biện pháp riêng biệt hoặc kết hợp với nhau. Với một số công nghệ, việc
giảm rủi ro có thể đạt được bằng cách lựa chọn các bộ phận đáng tin cậy và bằng cách loại trừ
các lỗi; nhưng với các công nghệ khác, việc giảm rủi ro có thể phải cần đến một hệ thống dư
thừa và/hoặc một hệ thống được giám sát. Ngoài ra, các hư hỏng do nguyên nhân chung (CCF)
phải được tính đến (xem Hình 3).
Đối với các phản lực liên kết của cấu trúc, xem Điều 6.
4.5.2. Thời gian trung bình tới khi hư hỏng nguy hiểm của mỗi kênh (MTTF d)
Giá trị của MTTFd của mỗi kênh được cho với ba mức (xem Bảng 5) và phải được tính đến cho
mỗi kênh một cách riêng biệt (ví dụ, kênh đơn, mỗi kênh của một hệ thống dư thừa).
Theo MTTFd có thể tính đến giá trị lớn nhất là 100 năm.
Bảng 5 – Thời gian trung bình tới khi hư hỏng nguy hiểm của mỗi kênh (MTTF d)

MTTFd


Ký hiệu của mỗi kênh

Phạm vi của mỗi kênh

Thấp

3 năm ≤ MTTFd < 10 năm

Trung bình

10 năm ≤ MTTFd < 30 năm

Cao

30 năm ≤ MTTFd ≤ 100 năm

CHÚ THÍCH: Việc lựa chọn các phạm vi MTTFd của mỗi kênh được dựa trên các tần suất hư
hỏng tìm thấy ở mức phát triển kỹ thuật hiện tại, tạo thành một loại tỷ xích lôgarit phù hợp với tỷ
xích lôrarit của PL. Một giá trị MTTFd của mỗi kênh nhỏ hơn ba năm không có hy vọng tìm thấy
được đối với SRP/CS thực, bởi vì điều này có nghĩa là sau một năm sẽ có khoảng 30% tất cả
các hệ thống trên thị trường sẽ hư hỏng và cần được thay thế. Một giá trị MTTF d của mỗi kênh
lớn hơn 100 năm là không chấp nhận được bởi vì SRP/CS đối với rủi ro cao không phụ thuộc
vào độ tin cậy của riêng các bộ phận. Để gia cố SRP/CS chống lại hư hỏng có hệ thống và hư
hỏng ngẫu nhiên, cần có các biện pháp bổ sung như hệ thống có liên kết dư thừa và tiến hành
thử nghiệm. Để có tính khả thi, số lượng các phạm vi đã được hạn chế là ba. Giới hạn của các
giá trị MTTFd của mỗi kênh tối đa là 100 năm được dùng cho kênh đơn của SRP/CS thực hiện
chức năng an toàn. Có thể sử dụng các giá trị MTTF d cao hơn cho các bộ phận đơn (xem Bảng

D.1).
CHÚ THÍCH 2: Các ranh giới của các phạm vi được chỉ ra trong bảng này có độ chính xác trong
khoảng 5%.
Để dự tính MTTFd của một bộ phận phải sử dụng quy trình tìm dữ liệu theo trình tự sau:
a) Dùng dữ liệu của nhà sản xuất;
b) Dùng các phương pháp trong các Phụ lục C và Phụ lục D;
c) Chọn 10 năm.
4.5.3. Vùng chẩn đoán (DC)
Giá trị của vùng chẩn đoán (DC) được cho theo bốn mức (xem Bảng 6). Để dự tính giá trị DC,
trong hầu hết các trường hợp có thể sử dụng dạng hư hỏng và phân tích các ảnh hưởng (FMEA,
xem IEC 60812) hoặc các phương pháp tương tự. Trong trường hợp này, nên xem xét tất cả các
lỗi và/hoặc dạng hư hỏng có liên quan và kiểm tra mức tính năng (PL) của tổ hợp SRP/CS thực
hiện chức năng an toàn so với mức tính năng yêu cầu (PL). Phương pháp đơn giản hóa để dự
tính DC được giới thiệu trong Phụ lục E.
Bảng 6 – Vùng chẩn đoán (DC)
DC
Ký hiệu

Phạm vi của mỗi kênh

Không

DC < 60%

Thấp

60 % ≤ DC < 90 %

Trung bình


90% ≤ DC < 99%

Cao

99% ≤ DC

CHÚ THÍCH 1: Đối với SRP/CS gồm nhiều bộ phận, sử dụng giá trị trung bình DC avg trên Hình 5,
Điều 6 và E2.
CHÚ THÍCH 2: Việc lựa chọn các phạm vi DC dựa trên các trị số chủ chốt 60%, 90% và 99% đã
được xác lập trong các tiêu chuẩn khác (ví dụ, IEC 61508) có liên quan đến vùng chẩn đoán của
các phép thử nghiệm. Các kết quả nghiên cứu đã chỉ ra rằng (1- DC) là biện pháp đặc trưng hơn
so với DC để đạt được hiệu quả của kiểm tra. (1-DC) đối với các trị số chủ chốt 60%, 90% và
99% tạo thành một loại tỷ xích lôgarit phù hợp với tỷ xích lôragit của PL. Một trị số DC nhỏ hơn
60% chỉ có ảnh hưởng nhẹ đến độ tin cậy của hệ thống được thử nghiệm và do đó được gọi là
“không”. Một trị số DC lớn hơn 99% đối với các hệ thống phức hợp rất khó có thể đạt được. Để


có tính khả thi, số lượng các phạm vi đã được hạn chế là bốn. Các ranh giới của các phạm vi
được chỉ ra trong bảng này có độ chính xác trong khoảng 5%.
4.5.4. Quy trình đơn giản hóa để dự tính PL
Có thể dự tính mức tính năng (PL) bằng cách tính đến tất cả các thông số có liên quan và các
phương pháp thích hợp để tính toán (xem 4.5.1). Điều này mô tả quy trình đơn giản hóa để dự
tính PL của một SRP/CS dựa trên các cấu trúc đã lựa chọn. Một số cấu trúc khác có kết cấu
tương tự có thể được biến đổi thành các cấu trúc đã lựa chọn này để thu được kết quả dự tính
của PL.
Các cấu trúc đã lựa chọn được biểu thị dưới dạng các sơ đồ khối và được liệt kê trong ngữ cảnh
của mỗi loại trong 6.2. Thông tin về phương pháp lập sơ đồ khối và các sơ đồ khối liên quan đến
an toàn được nêu trong 6.2 và Phụ lục B.
Các cấu trúc đã lựa chọn thể hiện tính logic của kết cấu hệ thống đối với mỗi loại. Sự thực hiện
về mặt kỹ thuật hoặc chẳng hạn như sơ đồ mạch chức năng có thể được xem là hoàn toàn khác

nhau.
Các cấu trúc đã lựa chọn được vẽ cho tổ hợp SRP/CS, bắt đầu tại các điểm tại đó các tín hiệu
liên quan đến an toàn được bắt đầu và kết thúc tại đầu ra của các phần tử điều khiển công suất
[xem TCVN 7383-1:2004 (ISO 12100-1:2003), Phụ lục A]. Có thể sử dụng các cấu trúc đã lựa
chọn để mô tả một bộ phận hoặc một bộ phận con của một hệ thống điều khiển, hệ thống này
đáp ứng các tín hiệu nhập và tạo ra các tín hiệu xuất liên quan đến an toàn. Vì vậy phần tử
“nhập” có thể biểu thị một màn ánh sáng (AOPD) cũng như các mạch nhập của các phần tử điều
khiển logic hoặc các công tắc nhập. “xuất” có thể biểu thị một tín hiệu làm chuyển mạch thiết bị
(OSSD) hoặc các tín hiệu xuất của các bộ quét laser.
Đối với các cấu trúc đã lựa chọn cần có các giả thiết điển hình sau:
- Thời gian làm việc 20 năm (xem Điều 10);
- Tần suất hư hỏng không đổi trong thời gian làm việc;
- Đối với loại 2, tần suất của yêu cầu ≤ 1/100 tần suất thử nghiệm;
- Đối với loại 2, MTTFd, TE lớn hơn một nửa MTTFd,L.
CHÚ THÍCH: Khi các khối của mỗi kênh không thể tách ly được thì có thể áp dụng như sau:
MTTFd của kênh thử nghiệm được tóm tắt (TE, OTE) lớn hơn một nửa MTTF d của kênh chức
năng được tóm tắt (I, L, O).
Phương pháp được coi các loại như là cấu trúc có vùng chẩn đoán trung bình (DC avg) xác định.
Mức tính năng (PL) của mỗi SRP/CS phụ thuộc vào cấu trúc, thời gian trung bình tới khi hư hỏng
nguy hiểm (MTTFd) trong mỗi kênh và DCavg.
Nên tính đến các hư hỏng do nguyên nhân chung (CCF) (xem hướng dẫn trong Phụ lục F).
Đối với các bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) có phần mềm cần
áp dụng các yêu cầu trong 4.6.
Nếu không có các dữ liệu định lượng hoặc không dùng các dữ liệu định lượng (ví dụ, các hệ
thống phức hợp thấp) thì nên lựa chọn trường hợp xấu nhất của tất cả các tham số có liên quan.
Một tổ hợp của SRP/CS hoặc một SRP/CS đơn có thể có một mức tính năng (PL). Tổ hợp của
nhiều SRP/CS có PL khác nhau được xem xét trong 6.3.
Trong trường hợp các ứng dụng có mức tính năng yêu cầu (PLr) từ a đến c thì phải có đủ các
biện pháp để tránh các lỗi đối với các ứng dụng có rủi ro cao, PL r từ d đến e, thì kết cấu của
SRP/CS cần có các biện pháp để tránh, phát hiện hoặc chịu được lỗi. Các biện pháp thực tế bao

gồm làm kết cấu dư thừa, đa dạng hóa kết cấu, kết cấu có kiểm soát [xem TCVN 7383-2:2004
(ISO 12100-2:2003), Điều 3 và IEC 60204-1:2000].


Hình 5 chỉ ra quy trình để lựa chọn các loại phối hợp với thời gian trung bình tới khi hư hỏng
nguy hiểm (MTTFd) và vùng chẩn đoán trung bình DCavg để đạt được mức tính năng yêu cầu
(PLr) của chức năng an toàn.
Để dự tính mức tính năng (PL), Hình 5 giới thiệu các sự phối hợp khác nhau có thể có của loại
với DCavg (trục nằm ngang) và MTTFd của mỗi kênh (các thanh). Các thanh trên biểu đồ biểu thị
ba phạm vi MTTFd của mỗi kênh (thấp, trung bình và cao) có thể được lựa chọn để đạt được
mức tính năng yêu cầu (PLr).
Trước khi sử dụng phương pháp đơn giản hóa với Hình 5 (biểu thị các kết quả của các mô hình
markov khác nhau dựa trên các cấu trúc đã lựa chọn của Điều 6) thì phải xác định loại SRP/CS
cũng như DCavg và MTTFd của mỗi loại kênh (xem Điều 6 và các Phụ lục C đến Phụ lục E).
Đối với các loại 2,3 và 4 phải thực hiện các biện pháp thỏa đáng đối với hư hỏng do nguyên
nhân chung (xem hướng dẫn trong Phụ lục F). Khi tính đến các thông số này, Hình 5 đưa ra
phương pháp biểu đồ để xác định PL mà SRP/CS đã đạt được. Sự phối hợp loại (bao gồm hư
hỏng do nguyên nhân chung) và DCavg xác định cột nào của Hình 5 được lựa chọn. Theo MTTF d
của mỗi kênh phải lựa chọn một trong ba diện tích được tô màu khác nhau của cột có liên quan.
Vị trí thẳng đứng của diện tích này xác định mức tính năng (PL) đạt được và mức tính năng này
được đọc theo trục thẳng đứng. Nếu diện tích bao hàm hai hoặc ba mức tính năng thì mức tính
năng đạt được cho trong Bảng 7. Phụ lục K giới thiệu sự lựa chọn trị số chính xác hơn của PL
phụ thuộc vào trị số chính xác của MTTFd của mỗi kênh.

CHÚ DẪN
PL Mức tính năng
1 MTTFd của mỗi kênh = thấp
2 MTTFd của mỗi kênh = trung bình
3 MTTFd của mỗi kênh = cao
Hình 5 – Quan hệ giữa các loại, DCavg, MTTFd của mỗi kênh và PL

Bảng 7 – Quy trình đơn giản hóa để ước lượng PL mà SRP/CS đạt được
Loại

B

1

2

2

3

3

4

DCavg

Không

Không

Thấp

Trung bình

Thấp

Trung bình


Cao

MTTFd của
mỗi kênh


Thấp

a

Không bao
hàm

a

b

b

c

Không bao
hàm

Trung bình

b

Không bao

hàm

b

c

c

d

Không bao
hàm

Cao

Không bao
hàm

c

c

d

d

d

e


4.6. Yêu cầu an toàn của phần mềm
4.6.1. Qui định chung
Phải quan tâm đúng mức tới tất cả các chế độ hoạt động trong vòng đời của phần mềm liên quan
đến an toàn được nhúng hoặc ứng dụng để tránh các lỗi phát sinh trong vòng đời của phần mềm
(xem Hình 6). Mục tiêu chính của các yêu cầu sau là để có phần mềm đọc được, có thể hiểu
được, thử nghiệm được và bảo trì được.

CHÚ THÍCH: Phụ lục J giới thiệu chi tiết hơn về các chế độ hoạt động của vòng đời.
Hình 6 – Mô hình chữ V đơn giản hóa vòng đời an toàn của phần mềm
4.6.2. Phần mềm được nhúng liên quan đến an toàn (SRESW)
Đối với phần mềm được nhúng liên quan đến an toàn (SRESW) dùng cho các bộ phận có mức
tính năng yêu cầu (PLr) từ a đến d phải áp dụng các biện pháp cơ bản sau:
- Vòng đời an toàn của phần mềm có sự kiểm tra và độ hoạt động có hiệu lực, xem Hình 6;
- Lập tài liệu đặc tả và thiết kế;
- Thiết kế cấu trúc, mô đun và mã hóa;
- Kiểm soát các hư hỏng có tính hệ thống (xem G.2);
- Khi sử dụng các biện pháp dựa trên phần mềm để kiểm soát các hư hỏng ngẫu nhiên của phần
cứng, kiểm tra sự thực thi đúng;
- Thử nghiệm chức năng, ví dụ, kiểm tra hộp đen;
- Các chế độ hoạt động thích hợp của vòng đời an toàn của phần mềm sau cải tiến.


Đối với phần mềm liên quan đến an toàn được nhúng (SRESW) dùng cho các bộ phận có mức
tính năng yêu cầu (PLr) c hoặc d phải áp dụng các biện pháp bổ sung sau:
- Quản lý dự án và hệ thống quản lý chất lượng có thể so sánh được với, ví dụ, IEC 61508 hoặc
TCVN ISO 9001;
- Lập tài liệu bao gồm các chế độ hoạt động có liên quan trong vòng đời an toàn của phần mềm;
- Quản lý cấu hình để định danh tất cả các hạng mục cấu hình và các tài liệu liên quan đến một
phiên bản SRESW;
- Đặc tả cấu trúc có các yêu cầu an toàn và thiết kế;

- Sử dụng các ngôn ngữ lập trình thích hợp và các công cụ dựa trên máy tính có độ tin cậy trong
sử dụng;
- Lập trình cấu trúc và mô đun, tách biệt trong phần mềm không liên quan đến an toàn, các kích
thước mô đun hạn chế với các giao diện được định nghĩa hoàn toàn, sử dụng tiêu chuẩn thiết kế
và tiêu chuẩn mã hóa;
- Kiểm tra sự mã hóa bằng bước chuyển đến/xem xét lại có sự phân tích dòng lưu động điều
khiển;
- Thử nghiệm chức năng mở rộng, ví dụ, thử nghiệm hộp xám, kiểm nghiệm sự thi hành hoặc mô
phỏng;
- Phân tích tác động và các chế độ hoạt động thích hợp của vòng đời an toàn của phần mềm sau
cải tiến.
Phần mềm liên quan đến an toàn được nhúng (SRESW) dùng cho các bộ phận có mức tính
năng yêu cầu PLr = e phải tuân theo IEC 61508-3:1998, Điều 7, thích hợp với mức toàn vẹn của
an toàn SIL 3. Khi sử dụng tính đa dạng trong đặc tả, thiết kế và mã hóa, đối với hai kênh được
sử dụng trong bộ phận liên quan đến an toàn của hệ thống điều khiển (SRP/CS) với loại 3 hoặc 4
thì có thể đạt được PLr = e với các biện pháp nêu trên đối với PLr c hoặc d.
CHÚ THÍCH 1: Sự mô tả chi tiết các biện pháp như vậy được giới thiệu trong IEC 61508-7:2000.
CHÚ THÍCH 2: Đối với SRESW có tính đa dạng trong thiết kế và mã hóa, đối với các bộ phận
được sử dụng trong SRP/CS với loại 3 hoặc 4 thì sự cố gắng trong việc tìm các biện pháp để
tránh các hư hỏng có hệ thống có thể được giảm đi bằng cách, ví dụ như xem xét lại các bộ
phận của phần mềm chỉ bằng xem xét các khía cạnh về cấu trúc thay cho kiểm tra mỗi dòng mã.
4.6.3. Phần mềm ứng dụng liên quan đến an toàn (SRASW)
Vòng đời an toàn của phần mềm (xem Hình 6) cũng áp dụng cho phần mềm ứng dụng liên quan
đến an toàn (SRASW) (xem Phụ lục J).
Phần mềm ứng dụng liên quan đến an toàn (SRASW) được viết trong ngôn ngữ biến đổi có giới
hạn (LVL) và tuân theo các yêu cầu sau có thể đạt được mức tính năng (PL) từ a đến e. Nếu
SRASW được viết bằng ngôn ngữ biến đổi hoàn toàn (FVL) thì phải áp dụng các yêu cầu dùng
cho phần mềm liên quan đến an toàn được nhúng (SRESW) và PL có thể đạt được từ a đến e.
Nếu một bộ phận của SRASW trong một bộ phận có tác động bất kỳ (ví dụ, do sự cải tiến của
nó) đến nhiều chức năng an toàn với PL khác nhau thì phải áp dụng các yêu cầu liên quan đến

PL cao nhất. Đối với SRASW dùng cho các bộ phận có PLr từ a đến e thì phải áp dụng các biện
pháp cơ bản sau:
- Phát triển vòng đời có sự kiểm chứng và các chế độ hoạt động có hiệu lực, xem Hình 6;
- Lập tài liệu đặc tả và thiết kế;
- Lập trình cấu trúc và mô đun;
- Kiểm nghiệm chức năng;
- Phát triển các chế độ hoạt động thích hợp sau cải tiến.


Đối với các SRASW dùng cho các bộ phận có PLr từ c đến e, các biện pháp bổ sung sau có hiệu
quả tăng (hiệu quả thấp đối với PLr và c, hiệu quả trung bình đối với PLr là d, hiệu quả cao đối
với PLr là e) được yêu cầu và khuyến nghị).
a) Phải xem xét lại đặc tả của phần mềm liên quan đến an toàn (xem Phụ lục J), sẵn có đối với
mỗi người có liên quan đến vòng đời và phải có sự mô tả;
1) Các chức năng an toàn với mức tính năng yêu cầu (Pa r) và chế độ vận hành kết hợp,
2) Chuẩn thi hành, ví dụ, các thời gian phản ứng,
3) Cấu trúc phần cứng với các giao diện tín hiệu ngoài, và
4) Phát hiện và kiểm soát hư hỏng bên ngoài.
b) Lựa chọn các công cụ, thư viện, ngôn ngữ:
1) Các công cụ thích hợp có độ tin cậy trong sử dụng; đối với PL = e đạt được với một bộ phận
và công cụ của nó, công cụ phải tuân theo tiêu chuẩn an toàn thích hợp; nếu sử dụng hai bộ
phận khác nhau với các công cụ khác nhau thì độ tin cậy trong sử dụng có thể là thỏa đáng. Phải
sử dụng các đặc tính kỹ thuật phát hiện ra các điều kiện có thể gây ra sai số hệ thống (như dữ
liệu không tương hợp, sự cấp phát nhập nhằng của bộ nhớ động, các giao diện được gọi không
đầy đủ, phép đệ qui, số học con trỏ). Nếu thực hiện việc kiểm tra chủ yếu là trong thời gian biên
dịch và không chỉ là tại thời gian chạy. Các công cụ nên củng cố các tập con ngôn ngữ và các
hướng dẫn mã hóa hoặc ít nhất là giám sát hoặc hướng dẫn người phát triển sử dụng chúng.
2) Khi thấy hợp lý và có thể thực hiện được, nên sử dụng các thư viện khối chức năng (FB) có
hiệu lực – các thư viện khối chức năng liên quan đến an toàn do nhà sản xuất công cụ cung cấp
(rất nên dùng đối với PL = e) hoặc các thư viện khối chức năng ứng dụng riêng có hiệu lực và

tuân theo tiêu chuẩn này.
3) Nếu sử dụng tập con ngôn ngữ biến đổi có giới hạn (LVL) đã được chỉnh vị trí thích hợp cho
một phương pháp lắp ráp, ví dụ tập con được chấp nhận của các ngôn ngữ IEC 61131-3. Các
ngôn ngữ đồ họa (ví dụ, biểu đồ khối chức năng, biểu đồ bậc thang) rất được khuyến nghị sử
dụng.
c) Thiết kế phần mềm phải đặc biệt chú ý đến:
1) Các phương pháp nửa chính qui để mô tả các dữ liệu và dòng điều khiển, ví dụ, biểu đồ trạng
thái hoặc lưu đồ chương trình,
2) Lập trình cấu trúc và mô đun hầu hết được thực hiện bởi các khối chức năng dẫn xuất từ các
thư viện khối chức năng liên quan đến an toàn có hiệu lực,
3) Các khối chức năng có kích thước mã hóa hạn chế,
4) Thực hiện mã bên trong khối chức năng có một điểm nhập và một điểm thoát,
5) Mô hình cấu trúc ba trước, khối nhập => khối xử lý => khối xuất (xem Hình 7 và Phụ lục J),
6) Gán một khối xuất an toàn tại chỉ một vị trí của chương trình, và
7) Sử dụng các kỹ thuật để phát hiện hư hỏng bên ngoài và để lập trình bảo vệ bên trong khối
nhập, khối xử lý và khối dẫn xuất dẫn đến trạng thái an toàn.

Các khối
nhập

Khối lượng
xử lý

Các khối
xuất

Thu nhận
thông tin
của các
cảm biến


Xử lý theo
yêu cầu để
thực hiện các
chức năng an

Điều
khiển các
thiết bị
khởi


an toàn
khác
nhau
bằng các
dữ liệu
nhập an
toàn

toàn dẫn đến
trạng thái an
toàn

động
bằng các
dữ liệu
xuất an
toàn


Hình 7 – Mô hình cấu trúc chung của phần mềm
d) Khi phần mềm ứng dụng liên quan đến an toàn (SRASW) và phần mềm ứng dụng không liên
quan đến an toàn (non-SRASW) được kết hợp trong một bộ phận:
1) SRASW và non – SRASW phải được mã hóa trong các khối chức năng khác nhau có các liên
kết dữ liệu đã được định nghĩa;
2) Không được có sự kết hợp logic của các dữ liệu liên quan đến an toàn và các dữ liệu không
liên quan đến an toàn dẫn đến việc hạ cấp tính toàn vẹn của các tín hiệu liên quan đến an toàn,
ví dụ, kết hợp các tín hiệu liên quan đến an toàn và không liên quan đến an toàn bằng một tín
hiệu logic “OR” ở đó kết quả điều khiển các tín hiệu liên quan đến an toàn.
e) Thực thi/mã hóa phần mềm:
1) Mã phải đọc được, có thể hiểu được và thử nghiệm được, và vì lẽ đó nên sử dụng các biến số
ký hiệu (thay cho địa chỉ rõ ràng của phần cứng);
2) Phải sử dụng các hướng dẫn mã hóa đã được chấp nhận hoặc chỉnh lý (xem Phụ lục J);
3) Nên sử dụng các kiểm tra tính toàn vẹn và tính hợp lý của dữ liệu (ví dụ, kiểm tra dải) sẵn có
trên lớp ứng dụng (lập trình bảo vệ);
4) Nên thử nghiệm mã bằng mô phỏng;
5) Nên kiểm tra bằng việc phân tích và điều khiển dòng dữ liệu đối với PL = d hoặc e.
f) Thử nghiệm:
1) Phương pháp có hiệu lực thích hợp là thử nghiệm trạng thái chức năng và chuẩn thi hành của
hộp đen (ví dụ, thi hành đo thời gian);
2) Đối với PL = d hoặc e, nên thực hiện thử nghiệm từ việc phân tích giá trị biên;
3) Cần có kế hoạch thử nghiệm bao gồm các trường hợp thử nghiệm với các chuẩn hoàn tất và
công cụ yêu cầu;
4) Thử nghiệm I/O (nhập/xuất) phải bảo đảm rằng các tín hiệu liên quan đến an toàn được sử
dụng đúng trong SRASW.
g) Lập tài liệu:
1) Phải lập tài liệu cho toàn bộ vòng đời và các chế độ hoạt động cải tiến;
2) Tài liệu cung cấp phải đầy đủ, có thể dùng được, đọc được và hiểu được;
3) Tài liệu về mã trong văn bản nguồn phải chứa các tiêu đề theo mô đun có thực thể hợp thức,
mô tả chức năng và mô tả I/O (nhập/xuất), phiên bản và phiên bản của các khối chức năng được

sử dụng, các dẫn giải cần thiết của các mạng/lệnh và các dòng thông báo.
h) Kiểm tra xác nhận2)
VÍ DỤ: Xem xét lại, kiểm tra, bước chuyển đến hoặc các hoạt động thích hợp khác.
i) Quản lý cấu hình
2)

Kiểm tra xác nhận chỉ cần thiết cho mã ứng dụng đặc biệt và không dùng cho các chức năng
thư viện có hiệu lực.


Các thủ tục và bản sao dự phòng dữ liệu nên được thiết lập để định danh và lưu trữ các tư liệu,
các mô đun phần mềm, các kết quả kiểm chứng/tính hiệu lực và cấu hình công cụ có liên quan
đến một phiên bản SRASW đặc biệt.
f) Cải tiến
Sau các cải tiến của SRASW, phải thực hiện sự phân tích tác động để bảo đảm sự đặc tả. Phải
thực hiện các độ hoạt động thích hợp của vòng đời sau cải tiến. Quyền truy cập các cải tiến phải
được kiểm soát và lịch sử cải tiến phải được lập thành tài liệu.
CHÚ THÍCH: Cải tiến không ảnh hưởng đến các hệ thống đã sử dụng.
4.6.4. Tham số hóa dựa trên phần mềm
Tham số hóa dựa trên phần mềm của các tham số liên quan đến an toàn phải được xem là một
khía cạnh liên quan đến an toàn trong thiết kế SRP/CS được mô tả trong đặc tả các yêu cầu an
toàn của phần mềm. Phải thực hiện sự tham số hóa khi sử dụng một công cụ phần mềm chuyên
dụng do nhà cung cấp SRP/CS cung cấp. Công cụ này phải có định danh riêng của nó (tên,
phiên bản, v.v…) và phải ngăn ngừa được sự cải tiến không được phép, ví dụ như bằng cách sử
dụng một mật khẩu.
Phải duy trì tính toàn vẹn của tất cả các dữ liệu dùng cho tham số hóa. Điều này phải đạt được
bằng cách áp dụng các biện pháp để.
- Kiểm soát dải các dữ liệu nhập có hiệu lực,
- Kiểm soát sự làm hỏng dữ liệu trước khi truyền,
- Kiểm soát ảnh hưởng của các sai sót từ quá trình truyền tham số,

- Kiểm soát ảnh hưởng của việc truyền tham số không an toàn, và
- Kiểm soát ảnh hưởng của các lỗi và hư hỏng của phần cứng và phần mềm của công cụ được
dùng cho tham số hóa.
Công cụ tham số hóa phải đáp ứng tất cả các yêu cầu đối với SRP/CS theo tiêu chuẩn này. Có
thể phải sử dụng một thủ tục đặc biệt để chỉnh đặt các tham số liên quan đến an toàn.
Thủ tục này phải bao gồm sự xác nhận các tham số nhập vào SRP/CS bằng.
- Truyền lại các tham số được cải tiến đến công cụ tham số hóa, hoặc
- Các biện pháp thích hợp hợp để xác nhận tính toàn vẹn của các tham số, cũng như sự xác
nhận tiếp theo, ví dụ như bởi một người có kỹ năng thích hợp và bằng kiểm tra tự động với việc
sử dụng một công cụ tham số hóa.
CHÚ THÍCH 1: Vấn đề nêu trên có ý nghĩa đặc biệt quan trọng khi việc tham số hóa được thực
hiện bằng một thiết bị không chuyên dụng (ví dụ, máy tính cá nhân hoặc thiết bị tương đương).
Các mô đun phần mềm dùng để mã hóa/mã hóa trong quá trình truyền/truyền lại và các mô đun
phần mềm dùng cho người sử dụng để hình dung các tham số liên quan đến an toàn phải có tính
đa dạng trong chức năng để tránh các sai số hệ thống.
Sự cung cấp dữ liệu tham số hóa dựa trên phần mềm phải chỉ ra dữ liệu được sử dụng (ví dụ, bộ
các tham số được xác định trước) và thông tin cần thiết để định danh sách tham số được xác
định trước) và thông tin cần thiết để định danh các tham số gắn liền với SRP/CS, người thực
hiện việc tham số hóa cùng với các thông tin có liên quan khác như ngày tham số hóa.
Phải áp dụng các hoạt động kiểm tra sau đối với quá trình tham số hóa dựa trên phần mềm:
- Kiểm tra sự chỉnh đặt đúng, đối với mỗi tham số liên quan đến an toàn (các giá trị nhỏ nhất, lớn
nhất và đại diện);
- Kiểm tra xác minh bằng các tham số liên quan đến an toàn đã được kiểm về tính hợp lý, ví dụ
như bằng cách sử dụng các giá trị không hợp lệ, v.v…;


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×